Personlig identifiserbar informasjon (PII) er i datasikkerhet data som kan brukes til å identifisere en person, enten direkte eller indirekte.
Det finnes flere definisjoner av PII som varierer fra land til land. Likevel, kjernen i hva begrepet betyr, forblir det samme.
En vanlig definisjon av PII, fra National Institute of Standards and Technology (NIST) i USA, er: «Enhver representasjon av informasjon som gjør det mulig å identifisere en person som informasjonen gjelder for, enten direkte eller indirekte.»
Definisjonen varierer også i henhold til lover om personvern og databeskyttelse. Se gjerne relaterte forkortelser for personvern for å lære mer om dette.
Viktigheten av PII i Cybersikkerhet 🔒
Cybersikkerhet handler om å beskytte seg mot dataangrep. Kjernen i dette er informasjonssikkerhet, der hovedfokuset er å beskytte data som er lagret i systemer og organisasjoner.
Å forstå hva PII er hjelper oss med å identifisere hvilke data som lagres, hva som må beskyttes, hvordan det kan administreres bedre, og andre faktorer som er viktige for å forbedre sikkerheten.
PII er som oftest sensitiv informasjon. Ondsinnede aktører bør derfor ikke få tilgang til slik informasjon. PII som samles inn kan påvirke individer i den virkelige verden, ikke bare i den digitale.
Personvern er sentralt i en organisasjons evne til å håndtere personopplysninger. Håndtering av PII er avgjørende for å demonstrere en organisasjons satsing på personvern. Derfor er det viktig å beskytte denne informasjonen i en verden preget av cybersikkerhet.
Hva er egentlig PII?
Nå som vi har definert PII, hvordan kan man vite om data kan avsløre en persons identitet? 🤔
For å svare på dette, må du vite hvilke typer data som kan klassifiseres som PII, og de ulike formene for PII.
Vi skal gå gjennom begge deler i denne artikkelen.
Eksempler på PII er informasjon som kan bekrefte en persons identitet. Ikke alle tjenester eller organisasjoner samler PII – så eksemplene vi nevner er ikke nødvendigvis data du gir fra deg på internett.
For eksempel kan en betalingsleverandør samle en type PII, mens en e-posttjeneste kan lagre andre typer.
💡 Informasjonen kan være fornavn, etternavn, fødselsdato, bankkontonummer, hjemmeadresse, personnummer, helseinformasjon, ansiktsbilde, mobilnummer, e-postadresse, bilnummer, fingeravtrykk og mer.
Dette gjelder stort sett over hele verden, med små forskjeller avhengig av hva som anses som PII.
Typer PII
PII kan deles inn i to typer: direkte og indirekte identifikatorer.
Direkte identifikatorer er informasjon som er unik for en person, for eksempel offentlig ID-nummer, lisensnummer, telefonnummer, bankkontonummer osv.
En person kan identifiseres basert på bare én direkte identifikator, og det er derfor dette anses som en type PII.
Indirekte identifikatorer (eller kvasi-identifikatorer) er enkeltstående data som ikke alene identifiserer deg. For eksempel, hvis du oppgir fødestedet ditt, kan man ikke finne ut hvem du er eller finne annen personlig informasjon.
Men flere indirekte identifikatorer kombinert kan potensielt identifisere deg. Kanskje ikke? Det kommer an på…
Mer om PII-typer og klassifisering
Personlig identifiserbar informasjon kan kategoriseres som sensitiv eller ikke-sensitiv.
Sensitiv PII er informasjon som vanligvis ikke deles offentlig og krever samtykke for å deles eller lagres.
Eksempler på sensitiv PII er fullt navn, identifikasjonskortnummer, lisensnummer, kredittkortinformasjon, medisinsk data, telefonnummer og økonomiske data.
Ikke-sensitiv PII er informasjon som kan hentes uten samtykke fra offentlige registre eller internett.
Eksempler på dette er fødselsdato, kjønn, religion og lignende.
I tillegg kan PII kategoriseres som koblet eller koblingsbar informasjon.
Koblet informasjon kan være:
Og alle andre elementer som faller inn under sensitiv PII.
Koblingsbar informasjon er data som kan kombineres for å identifisere en person.
For eksempel navn, postnummer, kjønn og arbeidssted.
Hva skjer hvis PII ikke er beskyttet? 🔓
Med tanke på at PII er avgjørende for cybersikkerhet, er det viktig å spørre seg hva som skjer hvis den ikke er beskyttet.
Hvis personlig identifiserbar informasjon er tilgjengelig for en angriper uten ditt samtykke, kan det skape problemer. Mange dataangrep skjer hver dag. Det er derfor viktig å være oppmerksom.
Cyberangrep kan utføres gjennom sosial manipulering, phishing og andre metoder.
Cyberkriminelle kan bruke PII til å hente mer informasjon, overvåke aktiviteten din på nett eller stjele identiteten din. Dette er svært bekymringsfullt.
Det handler om ditt personvern og din digitale sikkerhet. Akkurat som du ønsker å holde nettleserloggen din privat, bør PII (sensitiv eller ikke-sensitiv) være konfidensiell.
Hvis PII kommer på avveie, kan du raskt bli involvert i svindel eller lure deg til å betale løsepenger eller utføre ulovlige aktiviteter. Mulighetene for angripere til å bruke informasjon for å stjele data, penger og eiendeler er uendelige.
Det er derfor viktig å beskytte PII med gode cybersikkerhetstiltak.
Hvordan beskytte PII?
Organisasjoner og tjenester vi bruker er ansvarlige for å beskytte PII vi deler med dem.
Fra telefonnummer til betalingsinformasjon og adresse, må alt være privat og sikkert for å avverge uautorisert tilgang.
Her er noen tiltak organisasjoner bør gjøre for å beskytte PII:
- Informer kundene om dataene som lagres.
- Krypter dataene slik at informasjonen er beskyttet selv om det skulle oppstå et brudd.
- Bruk tofaktorautentisering for å beskytte nettkontoer.
- Kontroller tilgangen til informasjonen for å sikre maksimalt personvern.
- Implementer retningslinjer for nettsikkerhet for å sikre at informasjonen er beskyttet.
- Anonymiser dataene som er lagret så mye som mulig.
- Beskytt nettverket med en god brannmur.
- Sørg for at du har et styringssystem for informasjonssikkerhet (ISMS) på plass.
Det finnes mange andre tiltak som kan forbedre informasjonssikkerhet og datahåndtering. Det er viktig at disse grunnleggende praksisene er på plass for å gi best mulig beskyttelse for PII.
Du kan også velge å ikke dele data som klassifiseres som PII når det ikke er nødvendig. Dette vil bidra til å forbedre personvernet ditt.
PII er viktig, men ikke alle personlige data er det
Vi snakker her om «personlige» data.
Hva som kategoriseres som «personlig» kan variere avhengig av landets personvernlover. Selv om nesten alle data behandles som mer sensitive enn for ti år siden, har noen land ulike klassifiseringer.
For eksempel deler vi vårt fulle navn overalt, selv om det er en type PII. Vi kan ikke klandre en organisasjon/tjeneste hvis en angriper bruker navnet vårt andre steder. Du trenger derfor ikke å bekymre deg for informasjon vi deler daglig.
Sjekk personvernforskriftene og databeskyttelseslovene i landet ditt for å vite hva som anses som sensitivt og hvordan du kan forbedre ditt personvern.
Til syvende og sist er vi alle ansvarlige for å beskytte PII, både direkte og indirekte. Hvis vi er oppmerksomme på dataene våre, kan organisasjoner bedre ta vare på PII som samles inn fra oss.
Du kan også lytte til noen gode podkaster om cybersikkerhet for å være oppdatert på de siste digitale truslene.